ЦЕПИС: Заштите електронске приватности (Андроид апликација)

[Guest]

http://slovoljubve.com/sites/default/files/39/15/09/04.09.15_milos_antonijevic_nova_android_aplikacija_cepis-a.mp3

 

SmailY  - ново програмско решење Милоша Антонијевића, сталног стручног сарадника ЦЕПИС-а

У складу са досадашњим залагањем Центра за проучавање и употребу технологија СПЦ на пољу заштите електронске приватности, Милош Антонијевић, стални стручни сарадник Центра, је развио Android апликацију под називом SmailY. Апликација је осмишљена као e-mail клијент који у себи интегрише технологију опште познатих и широко примењених система енкрипције података.

Све операције шифровања и потписивања обављају се на корисничком уређају чиме се онемогућава злоупотреба у случају неовлашћеног приступа e-mail налогу или пресретања електронске комуникације. Процес писања и слања шифрованих и дигитално потписаних e-mail порука значајно је поједностављен у односу на конвенционалне методе креирања, употребе и обнављања e-mail сертификата и не захтева никакво познавање криптографских принципа и техника. Осим обезбеђивања поверљивости самог текста електронске поруке, уграђена је и могућност шифровања прилога који се шаљу уз поруку, као и заштита осетљивих података (нпр. лозинке за приступ налогу е-поште) који се чувају на корисничком уређају.  Апликација је доступа на енглеском и српском језику и бесплатна је за коришћење. Може се преузети са Google Play продавнице на адреси:

https://play.google.com/store/apps/details?id=me.smaily.app

или са Amazon Appstore на адреси:

http://www.amazon.com/Antonijevic-Ind-SmailY/dp/B0143C5C12/

Ова порука се налази и на насловној страници Поука. Погледајте!

[Guest]

Samo bi budala koristila vlasnički kriptosistem. Otkud znaš da nema zadnja vrata koja im omogućavaju da ipak dekriptuju tvoje podatke, za sopstvene potrebe ili pod sudskim nalogom?

 

Za to su samo open source rešenja dobra, poput GnuPG-a i APG-a.

[адм]

Samo bi budala koristila vlasnički kriptosistem. Otkud znaš da nema zadnja vrata koja im omogućavaju da ipak dekriptuju tvoje podatke, za sopstvene potrebe ili pod sudskim nalogom?

 

Za to su samo open source rešenja dobra, poput GnuPG-a i APG-a.

 

Поштовани Muramasa,

 

као аутор апликације у нормалним околностима не бих одговарао на овакве произвољне коментаре, нарочито јер се и сам начелно слажем са тобом по питању коришћења непроверених криптографских система.

 

Међутим, овом приликом си показао или незаинтересованост или злонамерност у свом писању, па налазим за сходно да пружим нека неопходна појашњења.

Наиме,

 

1. апликације које су писане у Java (као што је случај са 99% апликација за Android) су условно говорећи open source (условно, под условом да имаш елементарно развојно окружење за извршавање Java кода).

 

2. у самом опису апликације стоје две важне информације које се тичу твојих недоумица. Прва је да није у питању "власнички криптосистем", већ модел примене познатих и распрострањених енкрипционих алгоритама.

И друга, да се апликација заснива на истој технологији као и већ постојећи системи е-мејл сертификата, што ће рећи, колико су они безбедни, толико је и модел заштите примењен у апликацији безбедан.

 

Не знам како бих укратко могао да објасним основе асиметричних алгоритама енкрипције, а да не одлутам од сврхе мог писања (нешто више података се може наћи овде http://mailcry.com/general-guide.php). Суштина је да апликација управо штити податке од сваке врсте коришћења за "сопствене потребе" и "судских налога", јер само власник ПРИВАТНОГ КЉУЧА којим се обавља декрипција и потписивање може да дође до оригиналне информације која се преко интернета преноси шифрованим путем, па макар и ЦИА решила да их прочита.

 

Управо је основна идеја и била заштитити податке од google, microsoft-а и осталих радозналих очију, чак и у случајевима кад користимо њихове услуге.

[Guest]

Pisao sam svoju implementaciju kriptosistema sa RSA iz libcrypto++.

Ni rodjenom bratu ne bih verovao da nema backdoor, a da bar letimicno ne prodjem kroz src i iskompajliram ga.

I Microshitov Windows uglavnom koristi tehnike iz operativnih sistema koje su poznate vec 50 godina, pa je opet vlasnicki softver.

[адм]

Pisao sam svoju implementaciju kriptosistema sa RSA iz libcrypto++.

Ni rodjenom bratu ne bih verovao da nema backdoor, a da bar letimicno ne prodjem kroz src i iskompajliram ga.

I Microshitov Windows uglavnom koristi tehnike iz operativnih sistema koje su poznate vec 50 godina, pa je opet vlasnicki softver.

 

У праву си, уколико би постојао backdoor у коду који би рецимо слао оригиналне (нешифроване) податке пре обављене енкрипције, то би био једини начин да се до тих података дође. А једини начин да се провери да ли било који софтвер (или чак оперативни систем, нпр. Linux) има backdoor јесте да се прође кроз написани код (што је у случају Android Java апликације релативно једноставно, али и временски захтевно, али опет у мањој мери захтевно него у случају проласка кроз цео код Linux-а нпр.).

 

Међутим, основна идеја пројекта је нешто сасвим друго. Обезбедити начин да се е-поруке шаљу преко интернета, а да нико не може да их чита, чак и ако их пресретне, па чак ни власник софтвера, ни државне агенције са судским налозима. И друго, обезбедити да поруке имају јасно ауторство (путем дигиталних потписа), тако да нико не може да их фајсификује или се лажно представља, што се обезбеђује управо коришћењем RSA који си поменуо и који и сам познајеш.

[Guest]

Da bih stekao poverenje u neki uredjaj, recimo masinu pod Linuxom ili smartphone koji radi pod Cyanogenmod Androidom, povezem ga na mrezu, uradim arp preusmeremje kroz neki od mojih kompova, upalim Wiredhark i gledam kakve pakete salje i prima.

A zasto bi slao originalne podatke, njih bi i slepac sa snifferom uocio?

Mozes da hardkodujes neki svoj javni kljuc, pa da onda pedujes privatni korisnika i enkriptujes ga tim hardkodovanim javnim i to posaljes zajedno sa sifratom.

Na taj nacin bi mogao privatnim kljucem onog hardkodovanog javnog da dodjes do privatnog kljuca korisnika, a da malo ko posumnja.

Vecina bi pretpostavila da je nesto veci sifrat posledica pedovanja podataka.